ad1

2025年3月17日月曜日

2025年3月以降の vSphere ESXi ・ vCenter のパッチダウンロードとアップデート方法

Broadcom Support サイトからのソフトウェアアップデートのダウンロード制限

※ 本投稿はサポート契約・エンタイトルメントを持たないホームラボユーザー向けに書いています。

2025年2月末の Broadcom Support からのソフトウェアダウンロードの仕組みに変更が入り、Broadcom Support サイトを経由でのソフトウェアのパッチファイルのダウンロードが一部制限が入りました。

具体的には

  • 有効な製品エンタイトルメント、SnS が無いアカウントでの Broadcom Support サイトからのアップデート用ファイルのダウンロードが停止
  • Gmail などフリーメール(非企業メールアドレス)を利用したアカウントでの Broadcom Support サイトからのアップデート用ファイルのダウンロードが停止
    ※ もともとフリーメールでアカウントを作成している場合には Site ID やエンタイトルメントの設定ができませんが、ESXi のパッチファイルなどは Broadcom Support からダウンロードできた

のような変更が入っています。

サイト上の通知文面を見る限り、ソフトウェア使用許諾に違反した利用が増加しているためシステム改修を進めている様に読み取れます。昨年以降、サードパーティ保守サポートを売りにしたサービスが出てきており、バイナリが非正規ルートで流れている話もコミュニティで見かけるのでその対策でしょうか...


ただ、タイミング悪く、脆弱性 VMSA-2025-0004(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226)がアナウンスされ、脆弱性対応しようにも従来の Broadcom Support からの Offline Depot ファイルのダウンロードが出来なくなってしまいました。

この記事では昨年まで提供されていた無償版の vSphere Hypervisor (ESXi) を利用している方々のパッチ適用で不自由も生じているようなので、2025年3月時点の適切なパッチの適用方法をまとめます。アップデートがあり次第、適宜修正は掛けていきます。

本記事の見出し


【非正規ルートのバイナリ使用の注意】
昨今、vSphere の脆弱性を狙った攻撃が多数報告されていますが、パッチを適用する際には必ず正規ルート(Broadcom Support 経由)のバイナリ、または OEM メーカー経由のもののみを適用してください。
第三者が展開するバイナリは改竄されている可能性が否めないため、使用するのは控えてください。

なお、VMware Workstation Pro や Fusion Pro、vCenter Converter など無償ツールは Free Software としてダウンロードは可能です。


正規ルート(公式オンラインデポ)からのパッチファイルの入手方法

Broadcom Support サイトを利用したアップデート用のパッチファイル、バイナリがダウンロード出来なくなった場合においても、
ESXi や vCenter Servers Appliance からインターネット経由で直接アクセス可能なオンラインデポ (Online Depot) を利用してのパッチ適用は継続されています。

つまり、Broadcom Support サイトから Offline Depot などのパッチファイルがダウンロードは出来ない場合も、アップデート用のオンラインデポを利用することで既存環境へのアップデートの提供は継続しています。

2025/3/16 時点では、以下のデポを利用して、それぞれのコンポーネントへのパッチ適用が可能です。
※ 今後、各 URL が変更となった場合は改めて追記修正します。

Hostupdate の Online Depot はそれぞれ指し先の index.xml が以下となります。


詳細は以下ドキュメント参照


ESXCLI コマンドを利用したオンラインデポからのパッチ適用

vCenter Server 管理下の ESXi ホストであれば、vLCM (vSphere Lifecycle Manager)、または vUM (vSphere Update Manager) を利用すれば、オンラインデポからのパッチ適用は今まで通り可能です。

無償の vSphere Hypervisor (ESXi) を Standalone で利用している場合は、ESXCLI (esxcli software profile update) を利用して、オンラインデポ<https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml> を指定して実行します。

以下では VMSA-2025-0004 に対応した 8.0 U3d を当てています。
※ 8.0.x でオンラインデポ (Online Depot) を指定するとメモリエラーで失敗するので、後述のワークアラウンドを試してください。

例 : 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
[root@esxi00:~] ## ESXi ホストをメンテナンスモードに移行 (vSAN オプションは必要に応じて適宜指定)
[root@esxi00:~] esxcli system maintenanceMode set --enable 1 --vsanmode=ensureObjectAccessibility
 
[root@esxi00:~] ## Online Depot から Imege Profile の確認 (数10秒反応までかかります)
[root@esxi00:~] esxcli software sources profile list -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
Name                              Vendor        Acceptance Level  Creation Time        Modification Time
--------------------------------  ------------  ----------------  -------------------  -----------------
~~ 中略 ~~
ESXi-8.0U3d-24585383-no-tools     VMware, Inc.  PartnerSupported  2025-03-04T00:00:00  2025-03-04T00:00:00
ESXi-8.0U3d-24585383-standard     VMware, Inc.  PartnerSupported  2025-03-04T00:00:00  2025-03-04T00:00:00
~~ 中略 ~~
 
[root@esxi00:~] ## Online Depot から Imege Profile の適用 (回線次第ですが数分〜10数分かかります)
[root@esxi00:~] esxcli software profile update -p ESXi-8.0U3d-24585383-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
 
Update Result
   Message: The update completed successfully, but the system needs to be rebooted for the changes to be effective.
   VIBs Installed:
 
~~ 中略 ~~
 
   Reboot Required: true
   DPU Results:
 
## ※ CPU が非推奨モデル、サポート切れのモデルの場合は警告が出るので、 --no-hardware-warning で警告を無効化する
 
[root@esxi00:~] ## ESXi ホストの再起動後にメンテナンスモード解除
[root@esxi00:~] esxcli system maintenanceMode set --enable 0
  

昔からの手順を踏襲しているのか、操作前にファイアウォールの許可を設定する例も見られますが、基本的に今のバージョンでは不要です。

詳細は以下公式ドキュメントを参照してください。

ESXi 8.0.x にて esxcli software profile update でオンラインデポからアプデートを適用しようとした際に ESXi のメモリ領域不足のエラーが出力されるため、次のワークアラウンドを実施する必要があります。

ESXi 8.0.x におけるメモリ領域不足エラーへの対処

上に記したように、ESXi 8.0.x にて esxcli software profile update でオンラインデポを指定するとメモリエラーで失敗する事象が起きます。

原因としては、ESXi のサイズも年々増加しており、オンラインデポの情報を展開するメモリ領域が足りなくなったようです。ワークアラウンドは William Ram 氏が昨年3月に彼のブログにて公開しています。

※ 本事象は ESXi 7.0.x 以前の過去のメジャーバージョン、および Offline Depot (Zipファイル) を利用する場合では不要な手順です。

※ 本操作は公式サポートされていない手順となります。
※ 有効なサポートをお持ちの方は Broadcom Support からアップデート用バイナリの入手が出来ますのでそちらを利用してください。
または、次の項で説明する Image Builder を利用して Offline Depot ファイルを作成して、zip ファイルを指定して profile update をすることで、本ワークアラウンドの実施自体が不要になります。

手順は William Ram 氏のブログにある以下の確認と修正手順で実施可能です。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
[root@esxi00:~] ## 既定値のままで Profile を取得すると Memory Error で失敗
[root@esxi00:~] esxcli software sources profile list -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
 [MemoryError]
 Please refer to the log file for more details.
 
[root@esxi00:~] ## 既定のメモリ領域を確認 (300MB)
[root@esxi00:~] grep 'mem=' /usr/lib/vmware/esxcli-software
#!/usr/bin/python ++group=esximage,mem=300
 
[root@esxi00:~] ## メモリ領域を 300MB から 500MB に拡大
[root@esxi00:~] esxcli system settings advanced set -o /VisorFS/VisorFSPristineTardisk -i 0
[root@esxi00:~] cp /usr/lib/vmware/esxcli-software /usr/lib/vmware/esxcli-software.bak
[root@esxi00:~] sed -i 's/mem=300/mem=500/g' /usr/lib/vmware/esxcli-software.bak
[root@esxi00:~] mv /usr/lib/vmware/esxcli-software.bak /usr/lib/vmware/esxcli-software -f
[root@esxi00:~] esxcli system settings advanced set -o /VisorFS/VisorFSPristineTardisk -i 1
 
[root@esxi00:~] ## 修正されたメモリ領域を確認 (500MB)
[root@esxi00:~] grep 'mem=' /usr/lib/vmware/esxcli-software
#!/usr/bin/python ++group=esximage,mem=500
 
[root@esxi00:~] ## 再度 Profile を取得
[root@esxi00:~] esxcli software sources profile list -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
Name                              Vendor        Acceptance Level  Creation Time        Modification Time
--------------------------------  ------------  ----------------  -------------------  -----------------
ESXi-6.7.0-20201004001-no-tools   VMware, Inc.  PartnerSupported  2022-09-21T13:35:37  2022-09-21T13:35:37
~~ 中略 ~~
  


本設定は ESXi ホストを再起動すると初期値の 300MB に戻ります。

上記ワークアラウンド設定後、手元の環境で、ESXi 8.0U3 に対して適用した手順は以下の通り。使用している CPU が Skylake と少し古いため、警告がでてしまうため無効化のオプションを追加して適用しています。


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
[root@esxi00:~] ## 現在のバージョン情報の確認
[root@esxi00:~] esxcli system version get
   Product: VMware ESXi
   Version: 8.0.3
   Build: Releasebuild-24022510
   Update: 3
   Patch: 0
[root@esxi00:~] esxcli software profile get
ESXi-8.0U3-24022510-standard
   Name: ESXi-8.0U3-24022510-standard
   Vendor: VMware, Inc.
   Creation Time: 2025-03-16T08:04:47
   Modification Time: 2025-03-16T13:09:55
   Stateless Ready: True
   Description:
~~ 中略 ~~
 
[root@esxi00:~] ## ESXi ホストをメンテナンスモードに移行 (vSAN オプションは必要に応じて適宜指定)
[root@esxi00:~] esxcli system maintenanceMode set --enable 1 --vsanmode=ensureObjectAccessibility
 
[root@esxi00:~] ## Online Depot から 8.0U3d の Profile をリスト
[root@esxi00:~] esxcli software sources profile list -d https://hostupdate.vmwar
e.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml | grep ESXi-8.0U3d
ESXi-8.0U3d-24585383-no-tools     VMware, Inc.  PartnerSupported  2025-03-04T00:00:00  2025-03-04T00:00:00
ESXi-8.0U3d-24585383-standard     VMware, Inc.  PartnerSupported  2025-03-04T00:00:00  2025-03-04T00:00:00
 
[root@esxi00:~] ## ESXi-8.0U3d-24585383-standard を指定してアップデート (Legacy CPU 警告)
[root@esxi00:~] esxcli software profile update -p ESXi-8.0U3d-24585383-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
 
[HardwareError]
 Hardware precheck of profile ESXi-8.0U3d-24585383-standard failed with warnings: cpu_support 8.0.3.="" 82794="" and="" are="" but="" by="" can="" cpus="" details.="" esxi="" for="" force="" host="" install="" is="" it="" kb="" more="" nor="" not="" officially="" on="" override="" overridewarning:="" please="" recommended.="" refer="" supported="" the="" this="" to="" you=""
 
 Apply --no-hardware-warning option to ignore the warnings and proceed with the transaction.
 Please refer to the log file for more details.
 
[root@esxi00:~] ## --no-hardware-warning を追加してアップデートの成功
[root@esxi00:~] esxcli software profile update -p ESXi-8.0U3d-24585383-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml --no-hardware-warning
 
Update Result
   Message: The update completed successfully, but the system needs to be rebooted for the changes to be effective.
   VIBs Installed:
 
~~ 中略 ~~
 
   Reboot Required: true
   DPU Results:
 
[root@esxi00:~] reboot
 
 
[root@esxi00:~] ## アップデート後のバージョン情報の確認
[root@esxi00:~] esxcli system version get
   Product: VMware ESXi
   Version: 8.0.3
   Build: Releasebuild-24585383
   Update: 3
   Patch: 60
[root@esxi00:~] esxcli software profile get
(Updated) ESXi-8.0U3d-24585383-standard
   Name: (Updated) ESXi-8.0U3d-24585383-standard
   Vendor: VMware, Inc.
   Creation Time: 2025-03-16T13:14:20
   Modification Time: 2025-03-16T13:27:07
   Stateless Ready: True
   Description:
[root@esxi00:~] ## ESXi ホストの再起動後にメンテナンスモード解除
[root@esxi00:~] esxcli system maintenanceMode set --enable 0
  


PowerCLI を利用して hostupdate.vmware.com から Offline Depot ファイルの作成

ESXCLI でオンラインデポを参照する方法を紹介しましたが、複数の ESXi ホストがある場合は今まで通りオフラインデポ (Offline Depot) ファイルを落として、ローカルファイルで当てたいニーズもあるかと思ます。

その場合は、PowerCLI Image Builder を利用して hostupdate.vmware.com から Offline Depot ファイルを出力することが可能です。

※ vLCM でイメージ管理している場合は Image Builder の Get-DepotBaseImages と New-IsoImage を利用して Vendor Add-on などを追加した ISO イメージを作成しますが、今回はあくまでも ESXi に Offline Depot ファイルを適用するための準備として Export-EsxImageProfile を利用した手順のみを紹介します。

PowerShell ( PowerShell 5.1 or PowerShell 7+ )、および PowerCLI は事前に準備しておいてください。だいぶ前の記事ですが、以下を参照していただければ幸いです。

Image Builder を利用した Offline Depot ファイルの作成


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
PS C:\> ## Add-EsxSoftwareDepot でオンラインデポの取り込み
PS C:\> Add-EsxSoftwareDepot -DepotUrl "https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml"
 
Depot Url
---------
https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
 
PS C:\> ## Get-EsxImageProfile で 8.0U3d の Build No 24585383 を確認
PS C:\> Get-EsxImageProfile | ? {$_.Name -like "*24585383*"}
 
Name                           Vendor          Last Modified   Acceptance Level
----                           ------          -------------   ----------------
ESXi-8.0U3d-24585383-no-tools  VMware, Inc.    2025/03/04 0... PartnerSupported
ESXi-8.0U3d-24585383-standard  VMware, Inc.    2025/03/04 0... PartnerSupported
 
 
PS C:\> ## ESXi-8.0U3d-24585383-standard の Image Profile の指定
PS C:\> $ip = Get-EsxImageProfile -Name ESXi-8.0U3d-24585383-standard
 
PS C:\> ## ESXi-8.0U3d-24585383-standard の Offline Depot ファイル (.zip) のエクスポート
PS C:\> Export-EsxImageProfile -ImageProfile $ip -FilePath ./ESXi-8.0U3d-24585383-standard.zip -ExportToBundle
 
PS C:\> ## ESXi-8.0U3d-24585383-standard の ISO イメージ・インストーラファイル (.iso) のエクスポート
PS C:\> Export-EsxImageProfile -ImageProfile $ip -FilePath ./ESXi-8.0U3d-24585383-standard.iso -ExportToIso
  

以上の手順で、今まで Broadcom Support からダウンロードしていた ESXi の Offline Depot、ISO イメージファイルが作成できます。

Image Builder の Get-DepotBaseImages と New-IsoImage を利用する場合は以下の公式ドキュメントを参照の上、実施してください。※ Python 3.7 ~ 3.12 が必要なので事前準備で Path を通しておいてください。


vCenter Server Appliance へのオンラインデポからのパッチ適用

VCSA のアップデートは今まで通り、5480 ポートの VAMI (仮想アプライアンス管理コンソール) 画面からオンラインでアップデートできます。

既定値で https://vapp-updates.vmware.com/ が設定されているので、2025年3月17日時点では特に変更は不要です。


以上、取り急ぎまとめましたが、変更があり次第、適宜追記修正を掛けていきます。


時刻:
ラベル: , , , , , ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)

過去30日でアクセスの多い投稿